美安全公司曝越南政府黑客企图窃取中国新冠疫苗研发数据？越南外交部：指控毫无根据！

网路安全公司越南政府黑客窃取数据中国新冠疫苗疫苗研发数据猿

原创 Toby | 2020-04-25 15:14

【数据猿导读】中华人民共和国应急管理部是国务院组成部门，2018年3月根据第十三届全国人民代表大会第一次会议批准的国务院机构改革方案设立，是为防范化解重特大安全风险，健全公共安全体系，整合优化应急力量和资源，推动形成统一指挥、专常兼备、反应灵敏、上下联动、平战结合的中国特色应急管理体...

美安全公司曝越南政府黑客企图窃取中国新冠疫苗研发数据？越南外交部：指控毫无根据！

数据猿报道 4月22日，位于美国加州米尔皮塔斯市的网络安全公司火眼（FireEye）发布报告称，疑似由越南政府协助，代号为APT32（OceanLotus Group）的黑客组织，针对中国应急管理部以及武汉市政府工作人员的个人与办公邮箱帐户，发起鱼叉式网络钓鱼邮件的方式植入病毒，试图获取新冠病毒(COVID-19)相关的数据情报。

据火眼报告显示，在今年1月至4月期间，APT32向中国境内上述机构与个人发出了钓鱼邮件，引导电邮用户进入工作设备网页。用户如果点击了这个钓鱼电邮，黑客就会得到反馈，就会在该电邮用户的电脑上植入恶意软件。而一旦黑客植入恶意软件，黑客就可以复制这些储存在政府相关网络系统中的病毒数据。

网路安全公司_越南政府黑客_窃取数据_中国新冠疫苗_疫苗研发_数据猿-1

报告还指出，自从发生新冠病毒疫情以来，此类黑客攻击范围不断扩大，除了在中国，还有很多发生在东亚和世界其它地方。“国家、省和地方政府，以及非政府组织和国际组织都会成为黑客的目标。“”在疫情结束之前，此类网络间谍活动将会在全球范围继续下去，甚至更加严重。

目前，已知的第一个实例发生在今年1月6日，APT32向我国应急管理部发送了带有嵌入式跟踪链接的邮件，发件人地址为lijianxiang1870 @163.com，主题是“办公设备招标”。嵌入的链接也包含了受害者的电子邮件地址和代码。

网路安全公司_越南政府黑客_窃取数据_中国新冠疫苗_疫苗研发_数据猿-2

发给中国应急管理部的网络钓鱼电子邮件

其他相关URL有：

libjs.inquirerjs [.] com / / @ wuhan.gov.cn.png

libjs.inquirerjs [.] com / / @ chinasafety.gov.cn.png

m.topiccore [.] com / / @ chinasafety.gov.cn.png

m.topiccore [.] com / / @ wuhan.gov.cn.png

libjs.inquirerjs [.] com / / @ 126.com.png

另外，APT32还针对中国目标直接使用了以COVID-19为主题的恶意附件。虽然还没有发现完整的执行链，但是找到了一个METALJACK加载器，在启动有效载荷时会显示一个中文文档。

当METALJACK加载程序krpt.dll（MD5：d739f10933c11bd6bd9677f91893986c）加载时，可能会调用导出“ _force_link_krpt”。加载程序执行其嵌入式资源之一，一个COVID为主题的RTF文件，向受害者显示内容并将文档保存到％TEMP％。

网路安全公司_越南政府黑客_窃取数据_中国新冠疫苗_疫苗研发_数据猿-3

诱饵文档标题为“冠状病毒实时更新：中国正在追踪来自湖北的旅行者”的诱饵文档，MD5：c5b98b77810c5619d20b71791b820529

该恶意软件还会把shellcode加载到附加MD5中加：a4808a329b071a1a37b8d03b1305b0cb，其中包含METALJACK有效载荷。Shellcode通过执行系统调查收集受害者的计算机名和用户名，然后使用libjs.inquirerjs [.] com将这些值附加到URL字符串，再尝试调出URL。如果调用成功，恶意软件就会将METALJACK有效载荷加载到内存中。最后，使用vitlescaux[.]com进行命令和控制。

但在昨日，越南外交部副发言人吴全胜（Ngo Toan Thang）否认了这一指控，并在当天例行记者会上说：“这项指控毫无根据，越南禁止一切网络攻击行为，这类行动应当予以谴责，并严格依法处理。2018年，越南国会就通过了《网络安全法》，并正在完善相关实施细则，力争杜绝网络攻击行为。越南愿与国际同行合作，共同打击网络攻击犯罪。”

网路安全公司_越南政府黑客_窃取数据_中国新冠疫苗_疫苗研发_数据猿-4

越南外交部副发言人吴全胜（Ngo Toan Thang）

不过，来自火眼和其他网络安全公司的调查人员称，APT32替越南政府工作。近期的活动也证明了许多获国家支持的黑客组织企图破坏政府、企业和卫生机构，以寻找新冠肺炎信息，并尝试应对这个疾病。

火眼旗下的Mandiant威胁情报部门分析高级主管John Hultquist说，目前尚不清楚入侵行动是否成功，但攻击事件显示，从网络罪犯到国家支持的间谍不得不迅速重组操作模式，以应对新冠肺炎疫情。

美国外交关系委员会网络安全专家Adam Segal认为，黑客攻击活动表明，越南河内地区在网络空间行动一直都很迅速。

另外，美国联邦调查局（FBI）也在近期透露，发现有美国以外的黑客组织到处入侵美国医学研究机构，试图盗取新冠疫苗研发进度的数据，有关攻击组织背后存在外国政府的支持。

网路安全公司_越南政府黑客_窃取数据_中国新冠疫苗_疫苗研发_数据猿-5

据外媒报道，世界卫生组织（WHO）的高级官员近期也成为了黑客攻击的目标。世卫组织的安全团队注意到，自3月中旬以来黑客攻击数量有明显增加。黑客攻击的目标包括世卫组织总干事Tedros Adhanom Ghebreyesus，以及助理总干事 Bruce Aylward。Bruce Aylward也是世卫组织赴中国考察专家组的负责人。

此外，黑客最近还持续尝试入侵四名世卫组织在韩国工作的团队所使用的计算机，以及针对联合国日内瓦总部工作人员的攻击。

报道还称，黑客正在寻找的目标是参与防控新冠肺炎的工作的主要官员。以色列、欧盟、英国和瑞士近期也曾向世卫组织发出提醒，称其系统遭到了网络攻击，国际刑警组织和微软也将根据收集的数据情报向世卫组织预警。

来源：数据猿

收藏分享

声明：数据猿尊重媒体行业规范，相关内容都会注明来源与作者；转载我们原创内容时，也请务必注明“来源：数据猿”与作者名称，否则将会受到数据猿追责。